基于门限ECC的容侵CA私钥保护方案

CA是PIG中的关键设施,负责签发用于鉴别用户身份的数字证书.CA的可信任性依赖于CA的私钥.CA的私钥一旦泄露,其签发的所有证书就只能全部作废.因此,保护CA私钥的安全是整个PKI安全的核心.基于椭圆曲线ECC算法和(t,n)门限密码技术,结合主动秘密共享方法,提出了一种容侵的CA私钥保护方案.方案确保私钥在任何时候都无需重构.同时,在私钥产生、分发及使用过程中,即使部分系统部件受到攻击,也不会泄漏,保护了CA私钥的安全性,从而保证了在线CA所签发数字证书的有效性.并通过Java和Openssl对系统进行了实现.     

一种基于容忍入侵技术的CA方案

CA是PKI中的关键设施.CA的可信任性依赖于CA的私钥。CA的私钥一旦泄露,该CA签发的所有证书就只能全部作废。确保CA的私钥不泄漏极其重要。容忍入侵技术不是通过传统的防火墙或入侵检测技术来保证CA的安全,而是确保当少数部件遭受入侵后,CA系统的机密信息并没有泄漏,即具有容忍入侵性。通过RSA加密算法和(t,n)秘密共享机制,将私钥分发给不同的共享服务器,并且私钥在任何时候都无需重构,保护了CA私钥的保密性,增强了CA的容忍入侵性.     

有条件容忍入侵的数字签名协议

基于新的(t,n)秘密共享机制将CA私钥进行分存,使用其身份作为私钥份额的标识,提供私钥保护的容侵性。该协议不是从保护系统或检测入侵出发来保证CA的安全,而是确保当少数部件被攻击或占领后,CA系统的机密信息并没有暴露;能根据攻击的类型,动态调节密码协议的运行,以容忍、阻止一部分攻击行为,更好地保护密码协议的运行安全。协议采用系统整体安全策略,综合多种安全措施,实现了系统关键功能的安全性和健壮性。     

在线CA的安全增强方案研究

结合椭圆曲线密码体制、门限密码技术和主动秘密共享方案，提出一种基于椭圆曲线可验证门限数字签名的在线CA安全增强方案。该方案将在线CA的签名私钥分发给多个CA共享服务器,并保证任何少于门限值的在线CA共享服务器无法共谋获取、篡改和破坏CA的签名私钥，从而保护了CA签名私钥的机密性、完整性和可用性。     

一种基于秘密分享的认证中心私钥保护方案

针对CA私钥的高安仝性需求,提出一种新的(t,n)秘密分享机制保护CA私钥.首先,使用RSA算法产生CA私钥,保证了私钥的不可伪造性:然后基于新的(t,n)秘密共享机制将CA私钥进行分存,使用其身份作为私钥份额的标识,并使用私钥作为秘密份额.在使用CA私钥进行签名时,使用Lagrange插值多项式进行重构,并提供了简单...     

一种CA私钥的容侵保护机制

保护CA私钥的安全性是整个PKI安全的核心。基于RSA公钥算法和(t, n)门限密码技术,采用分阶段签名方案,确保私钥在任何时候都无需重构。同时,在私钥产生、分发及使用过程中,即使部分系统部件受到攻击,也不会泄漏CA的私钥,CA仍可以正常工作(即系统具有一定的容侵性)。通过VC和Openssl对系统进行了实现。     

一种针对弹性CA的分布式密钥产生方案

弹性CA是一种使用入侵容忍技术保护CA密钥的CA系统,它采用了新的私钥分割方法加强了系统的安全性,但其使用的密钥分发中心却不利于CA私钥安全 .分布式密钥产生方案就是在传统的弹性CA方案的基础上取消了密钥分发中心,使用分布式的密钥产生和分割机制,从而保证了在CA初始化和整个运行过程中,任意t-1(t为门限值)台服务器都不可能窃得CA私钥,大大加强了CA系统安全 .     

基于门限加密技术的全分布入侵容忍私钥保护

随着用户通过Internet进行在线交易的普及,保护在线服务的私钥安全也就成为一个非常重要的课题。目前常用的私钥容忍保护PAKE协议方法中用户管理欠缺,而且攻击者可以妥协服务器造成用户无法得到加密私钥。可以通过加强用户验证管理和PVD的安全传送验证,提高了系统的入侵容忍安全级别。在这种技术中,即使有一定数量的服务器被破坏,系统的服务照常可以提供,用户私钥的安全较以往有了很大的提高。     

一种私钥容侵的数字签名方案

数字证书的可信任性取决于数字签名本身的有效性。为增强数字签名的有效性,提出一种认证中心(CA)签名私钥可以容忍入侵的高安全性签名方案。使用RSA算法产生CA私钥,保证私钥的不可伪造性。基于新的(t, n)秘密共享机制将CA私钥进行分存,使用其身份作为私钥份额的标识,提供私钥保护的容侵性。在进行数字签名时,基于RSA签名本身的特性,设计一种无需重构CA私钥的分步签名方案,进一步增强CA私钥的高容侵性。通过仿真实验对(t,n)门限取值结果的影响进行验证,表明方案的有效性。     

一种高安全性的私钥保护方案

CA私钥的安全是数字证书可信性及签名有效性的保证。为了增强CA私钥的安全保护,采用基于RSA的(t,n)秘密共享将CA私钥安全分发到t个签名服务器,每个签名服务器拥有不同的私钥份额,并使用先应式秘密技术周期性更新私钥份额,避免长期攻击可能带来的危险性;同时,对私钥份额进行恢复和有效性验证;签名时,使用基于RSA的分步签名机制,每个签名服务器先计算出部分签名,最后由签名代理合成最终签名。整个过程都无需对CA私钥进行重构,增强了CA私钥和签名过程的安全性。最后,对存储私钥份额的服务器采用异构平台。方案通过VC和OPENSSL进行了实现。理论上的分析和实验结果表明,本方案有较高的安全性和效率。     

基于RSA的密钥门限共享优化方案的设计实现

CA是网络中通信双方所共同信任的第三方,其安全是信息传输安全的前提基础,文章讨论了CA私钥的安全存储方案,使系统在受到一定攻击或者出现某些故障的情况下仍然可以正常工作。文章重点对基于RSA算法的(m,n)密钥共享方案进行优化,推导证明了在保证系统高容错性前提下私钥拆分分组数目最小值的计算公式并,提出子密钥分发规则,最后通过实验对系统性能进行了分析。     

一种新的私钥安全存取方案*

安全的私钥存取机制是构建可靠PKI系统的关键问题之一。从对私钥拥有者的强身份认证和保护私钥存储机密性这两个角度出发,提出了一种新的基于GQ(GuillouQuisquater)零知识身份认证体制的私钥安全存取方案。该方案将端实体的私钥以密文形式存放在CA中。当端实体使用私钥时,系统采用双因素认证技术(GQ体制和秘密值h)验证端实体身份, 可以有效抵御认证过程中潜在的各种攻击,同时避免信息泄漏。此外,端实体首次使用私钥后,重新生成保护密钥,利用该保护密钥对私钥加密,再将密文传回CA, 从而最大限度地确保了私钥传输和存储的机密性。